СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
Вчера в 17:11
#ИБ

На GitHub хакеры распространяют вредоносное ПО под видом ChatGPT и Claude

На GitHub хакеры распространяют вредоносное ПО под видом ChatGPT и Claude

Изображение: Z-Image Turbo

Киберпреступники запустили масштабную кампанию с поддельными установщиками ChatGPT, Claude и популярного творческого софта. Площадками для распространения выбраны GitHub и SourceForge — ресурсы, которым разработчики традиционно доверяют. Внутри заражённых файлов скрываются бэкдор DinDoor и трояны удалённого доступа на базе Deno.

Под удар попадают пользователи, ищущие неофициальные версии популярных программ. Список приманок выглядит так:

  • ChatGPT и Claude — фальшивые установщики ИИ-инструментов;
  • AutoTune, Kontakt, Ableton Live — пиратские копии музыкального ПО;
  • ZENOLOGY и другой продакшен-софт;
  • Игровые утилиты и технические инструменты для разработчиков.

Атака целенаправленно бьёт по создателям контента, музыкантам, геймерам и разработчикам — то есть по тем, кто привык скачивать инструменты через репозитории и тематические сообщества.

Любопытно, что главным каналом продвижения стали взломанные YouTube-аккаунты. Через ролики злоумышленники рекламируют фальшивые репозитории с инструкциями по установке. Ряд видео уже набрал более 50 000 просмотров.

Схема выстроена расчётливо. Операторы создают множество GitHub-аккаунтов и десятки репозиториев, постоянно обновляя приманки после удаления старых страниц. Malwarebytes передала данные GitHub, часть репозиториев удалена, но исследователи ожидают быстрого появления новых копий.

Пользователю на заражённой странице предлагают открыть терминал и вставить специальную команду. Инструкции разделены для Windows и macOS. После запуска скрипт скачивает MSI-файл или PowerShell-сценарий прямо с GitHub.

Дальше запускается цепочка, выглядящая полностью легитимно:

  • Скрипт устанавливает Scoop и WinGet — популярные менеджеры пакетов Windows.
  • Через них подтягивается настоящая среда выполнения Deno.
  • Уже через Deno загружается бэкдор DinDoor.
  • Следующий этап запускается в памяти через стандартный ввод без сохранения на диск.
  • Это существенно затрудняет обнаружение антивирусами и системами мониторинга.

DinDoor закрепляется в системе через ключ Run в реестре Windows, передаёт данные о машине на сервер управления и получает дополнительные полезные нагрузки. В исследованных случаях следующим этапом становился RAT под названием Smokest — тоже построенный на Deno. Malwarebytes фиксирует сильное сходство кода между двумя инструментами и предполагает, что оба разрабатывались одной командой.

Функциональность RAT охватывает практически полный контроль над заражённой машиной:

  • Выполнение команд и PowerShell-скриптов
  • Управление файлами, запуск и завершение процессов
  • Создание скриншотов и поднятие SOCKS5-прокси
  • Кража данных из Chrome, Brave, Edge, Opera, Vivaldi и других Chromium-браузеров
  • Извлечение данных из Telegram, Discord и Lightcord

Отдельный модуль атакует криптовалютные активы. Вредоносное ПО нацелено на более 50 расширений криптокошельков и не менее 10 отдельных wallet-приложений — Atomic Wallet, Exodus, Electrum, ByteCoin и другие.

Стоит обратить внимание на способ скрытой трансляции экрана жертвы. RAT запускает Microsoft Edge в фоновом режиме, подключается к нему через Chrome DevTools Protocol и внедряет WebRTC-страницу. Браузер начинает передавать зашифрованный видеопоток злоумышленнику напрямую через peer-to-peer соединение. Трафик проходит через легитимный процесс Edge, что скрывает активность от систем сетевого мониторинга.

Вместо отдельного подозрительного клиента атакующие используют встроенный браузер Windows как инструмент скрытого видеонаблюдения. Это одна из наиболее опасных черт кампании с точки зрения обнаружения.

Вся схема построена на доверии к известным платформам:

  • GitHub и SourceForge считаются безопасными среди разработчиков.
  • Scoop, WinGet и Deno — абсолютно легитимные технологии.
  • Большая часть активности выглядит как обычная работа с открытым исходным кодом.
  • Многие системы защиты ищут неподписанные файлы или подозрительные источники, которых здесь нет.

Похожие атаки через поддельные страницы Gemini и Claude Code фиксировались ранее. Тогда злоумышленники применяли SEO-отравление, поднимая фальшивые сайты выше официальных и заставляя разработчиков запускать PowerShell-команды, которые грузили инфостилеры прямо в память системы.

Эксперты редакции CISOCLUB уверены, что атаки через доверенные платформы становятся одним из наиболее трудно купируемых векторов угрозы. Когда вредоносная нагрузка доставляется через GitHub, а исполнение идёт через легитимные менеджеры пакетов и среды выполнения, стандартные сигнатурные антивирусы просто не срабатывают.

Особого внимания заслуживает модуль с трансляцией через Edge — это уже не просто кража паролей, а полноценный инструмент слежки. Музыканты, стримеры и разработчики, активно использующие GitHub для поиска инструментов, сейчас находятся в группе повышенного риска.

Редакция CISOCLUB рекомендует устанавливать любой софт строго с официальных сайтов производителей и не доверять инструкциям из видеороликов, даже если у канала десятки тысяч просмотров. Отсутствие явных признаков заражения сразу после установки не означает, что система чиста.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: